Українською | English

НАЗАДГОЛОВНА


УДК 004.056.5

 

А. В. Бєгун,

к. е. н., доцент, доцент кафедри інформаційного менеджменту,

Київський національний економічний університет  імені Вадима Гетьмана, м. Київ

 

Оцінювання динаміки вторгнень в інтелектуальні інформаційні системи

 

A. Biegun,

Ph.D. associate Professor of the Department of information management,

Kyiv National Economic University named after Vadym Hetman, Kiev

 

Assessment of the dynamics of intrusion in intelligent information systems

 

В статті пропонується система оцінювання вторгнень в інтелектуальну інформаційну систему економічного об’єкту, яка в своєї діяльності використовує два алгоритми: алгоритм дослідження динаміки розвитку атаки у відповідності з типовими сценаріями вторгнення й

алгоритм, в основу якого покладений пошук аномалій.

 

The paper proposes a system of evaluation of intrusion intellectual information system of economic object, which in its activity uses two algorithms: the study of the dynamics of development of the attack in accordance with the model scenarios of invasion and algorithm, which is based upon the search for anomalies.

 

Ключові слова: інтелектуальна інформаційна система, інформаційна атака, вторгнення, хост, стан автомату, верифікація, сигнатура, профіль, аномалія.

 

Keywords: intelligent information system, information attack, invasion, the host state of the automaton, verification, signature, profile, anomaly.

 

 

Вступ. Економічне середовище має ряд особливостей, які суттєво впливають на вибір механізмів захисту його інформаційного простору. Серед них слід відмітити наступні:

- специфічна модель загроз і порушника;

- неоднорідність комерційних організацій;

- можливість страхування інформаційних ризиків;

- необхідність визначення цінності інформаційних ресурсів;

- доцільність динамічності системи захисту та її моніторингу;

Інтенсивне використання нових інформаційних технологій в економічних структурах різноманітного рівня призначення спонукає приділяти увагу дослідженню проблеми залучення і впровадження засобів захисту інтелектуальних інформаційних систем (ІІС) від інформаційних атак та вторгнень.

Аналіз досліджень і публікацій з проблеми. Найбільш розповсюджені моделі виявлення інформаційних атак і вторгнень реалізуються на основі статистичних методів: пороговий, метод середнього значення і середньоквадратичного відхилення, багатоваріаційний та метод марківських процесів. Такі методи дозволяють визначити лише наслідки вторгнень і характеризуються великою кількістю помилок першого роду (будь-яке відхилення може розглядатися як інформаційна атака) [1,2]. Залучення моделей поведінки ІІС на базі нейромережевих моделей, імунологічних алгоритмів і експертних систем дозволяє виділити множину аномальних подій та інтерпретувати їх у вигляді інформаційних атак. Але головний недолік вищеназваних моделей - дуже складний детальний опис стаціонарного режиму функціонування в силу постійної зміни структури ІІС.

Однією з найбільш ефективних моделей поведінки є модель, яка дозволяє виявляти аномалії в хостах з відхиленнями установлених стандартів і сервісів. Перевага такої моделі полягає у можливості виявлення атак шляхом визначення мережевих запитів, які порушують стаціонарний протокол мережевої взаємодії між вузлами ІІС. Серед основних мережевих запитів з ознаками проведення інформаційної атаки слід навести наступні:

- запити, синтаксис і семантика яких не відповідає стандартам RFC;

- запити до неіснуючим інформаційним ресурсам;

- запити, обробка яких не підтримується загальносистемним і прикладним програмним забезпеченням;

- запити, довжина яких перевищує задані обмеження.

     В статті пропонується система аналізу вторгнень, яка в своєї діяльності використовує два алгоритми:

1) алгоритм дослідження динаміки розвитку атаки у відповідності з

 типовими сценаріями вторгнення й побудований на базі автомату станів;

2) алгоритм, в основу якого покладений пошук аномалій.

Викладення основного матеріалу. Типовий сценарій вторгнення в інформаційне середовище економічної системи складається з наступних етапів.

1. Етап збору інформації. На цьому етапі зловмисника цікавить

інформація про систему, яка знаходиться в стані атаки:

- топологія мережі  ІІС;

- тип ОС хостів в стані атаки;

- сервіси,які функціонують  на хостах;

- додаткова інформація про хости.

2. Етап безпосередньої атаки. На основі інформації, яка зібрана в

результаті виконання попереднього етапу, порушник може почати атаку на ІІС. Тут використовуються типові вразливості в системних сервісах або помилки в адмініструванні системи. Успішним результатом використання вразливостей звичайно є отримання зловмисником прав на хост, файлу паролів, відмова в обслуговуванні хосту тощо.

3. Етап консолідації. Після проникнення в ІІС і отримання певних

преференцій зловмисником починається етап консолідації. Така стадія вторгнення поділяється на дві логічні фази: консолідація й розповсюдження вторгнення. До того ж до останьої фазі можна віднести дії, які зв’язані з реалізацією загроз  безпеки ІІС, наприклад, доступ до захищеного інформаційного ресурсу.

Аналіз існуючих методів визначених вторгнень [2,3,5] можна в загальному випадку охарактеризувати наступним чином: 

- сигнатурні методи виявлення атак, які направлені на визначення складових елементів вторгнення, але не об’єднують отримані результати в єдину множину вторгнень;

- існуючи методи штучного інтелекту, які доповнюють сигнатурні методи виявлення атак і направленні на визначення складних атак без врахування етапів вторгнення;

- методи виявлення аномалій, які досліджують відхилення в поведінці користувачів і не дозволяють відслідковувати картину вторгнення.

В основу алгоритму оцінювання динаміки розвитку атаки у відповідності з типовими сценаріями вторгнень закладені типові сценарії атак, які базуються на взаємозв’язку її різноманітних етапів. Цей алгоритм аналізує стан зовнішніх хостів у відношенні до захищеного. Зовнішній хост, в свою чергу, повинен мати такі характеристики:

- невідомий хост – хост, який звертався до захищеного хосту на протязі

стислого періоду часу, і який не відтворював атакуючих дій;

- довірений хост – хост, який звертався до захищеного хосту  на протязі

довго періоду часу і не робив атакуючих дій;

- підозрілий хост – хост, який сканував або атакував захищений хост.

Дані для аналізу з використанням зазначеної системи надходять від

системи визначення атак Snort.

     Модель системи базується на автоматичній мові L, яка описує штатний протокол мережевої взаємодії вузлів. При цьому мова L задається за допомогою кінцевих автоматів-розпізнавальників наступного типу

 

A = <S, X, Y, s0, δ, λ, F, sa >,

 

де   Sмножина станів;

Xмножина вхідних символів;

Yмножина семантичних операторів, які виконують функції аналізу семантики даних, що надходять до входу автомату;

s0  Sпочатковий стан;

δ: s XSфункція переходів;

λ: s XYфункція визначення семантичного оператора, який

 виконується при аналізі вхідних сигналів;

F    Sмножина заключних станів, в які переходить автомат при

коректного розпізнавання  ланцюга мови L;

sa  S заключний стан, в який переходить автомат у випадку надходження на вхід ланцюга символів, що не є елементом мови L.

На вхід кінцевому автомату для аналізу подається ланцюг символів з вимогами мережевого запиту. Якщо в результаті обробки вхідного ланцюга символів автомат переходить в один із своїх заключних станів F, то це означає – запит не є загрозливим і не використовується для проведення інформаційної атаки. У противному випадку, при переході автомату до стану Sa  або в результаті виконання одного із своїх семантичних операторів і буде призупинена робота автомату, то тоді фіксується факт виявлення вторгнення до хосту.

При ідентифікації кожного повідомлення у вигляді  атаки або фази консолідації  відбувається верифікація сценарію у відповідності з поточним станом хосту у відношенні до сервісу, операційної системи, підсистеми облікових записів і файлової системи. Ознакою успішної (верифікованої) атаки є знаходження сигнатури, яка відповідає етапу безпосередньої атаки. А ознакою успішного вторгнення (кінцевий стан автомату) є знаходження сигнатури консолідації після визначення сигнатури безпосередньої атаки необхідного типу.

Основою побудови алгоритму виявлення аномалій виступають дані, які створюють профіль поведінки зовнішнього хосту у відношенні до кожного сервісу. В такому випадку профіль поведінки представляє наступні дані:

а) тип ресурсів захищаємого серверу. Тип ресурсу визначається на основі його розширення;

б) стандартний час звернень до сервісу;

в) кількість звернень до сервісу за сесію;

г) кількість помилок при зверненні до сервісу за сесію.

В таблиці 1 наведений стислий опис характеристик профілів поведінки зовнішнього хосту.

 

Таблиця 1.

Профілі поведінки та їх характеристики

Ознаки аномального аналізу

Опис характеристики

Стандартний час звернення до сервісу сервера

Інтервал часу

Ресурси, які запитуються за допомого сервісу

Множина типів ресурсів

Кількість звернень до сервісу за сесію

Середня кількість звернень за сесію і середнє квадратичне відхилення

Кількість помилок при зверненні до сервісу за сесію

Середня кількість звернень за сесію і середнє квадратичне відхилення

 

В результаті порівняння поточної активності з профілем нормальної поведінки виявляються відхилення в поведінці зовнішнього хосту – аномалії.

Для кожної з описаних характеристик статистика нормальної поведінки обчислюється при коректних зверненнях до захищеного хосту до того моменту, коли хост переноситься до категорії довірчих. Поточна ж активність хосту оцінюється на протязі проходження сесії. В якості сесії розглядається деякий проміжок часу (один день). В системі пропонується переводити хост до списку довірчих після N днів роботи з хостом для будь-якого сервісу. Після переведення хосту до списку довірчих починається порівняння поточної активності хосту із складеним профілем поведінки. Порівняння відбувається за такими критеріями:

- для множини номерів портів і множині типів ресурсів – наявність відповідного елементу в даних про поточну активність профілю нормальної поведінки;

- для кількості помилок при зверненні до сервісу та числа звернень до

нього  - попадання відповідних характеристик поточної сесії  до інтервал, який розрахований в профілі нормальної поведінки;

- для часу сесії – попадання поточної сесії до інтервалу, який визначений в профілі.

Порівняння поточної активності з профілем нормальної поведінки виявляє відхилення в поведінці зовнішнього хосту – аномалії. Цей алгоритм до того ж доповнює алгоритм дослідження динаміки розвитку атаки у відповідності з типовими сценаріями вторгнення: ініціація атаки з фіксацією аномальної поведінки хосту враховується успішним, а профіль нормальної поведінки є недійсним; якщо від хосту була знайдена сигнатура консолідації та була виявлена аномальна поведінка, то можлива атака без сигнатури і  вторгнення є успішним; якщо в поведінці довіреного хосту після отримання одиничного повідомлення не було відхилень від профілю або відповідного повідомлення про консолідацію, то повідомлення вважається невірним. В таблиці 2 наведені умови успіху вторгнення до хосту.

 

Таблиця 2

Характеристика умов оцінки успіху вторгнень до хосту

 

Вторгнення безуспішне

Вторгнення успішне

Сигнатура атаки

+

 

Сигнатура консолідації

+

 

Аномальна поведінка

+

 

Сигнатура атаки і консолідації

 

+

Сигнатура атаки і аномальної поведінки

 

+

Сигнатура консолідації і аномальної поведінки

 

+

 

Висновки. Використання запропонованого підходу дозволяє зменшити кількість невірних спрацювань, які пов’язані з аномальною активністю довірчого хосту.

Представлена в статті система оцінювання динаміки розвитку вторгнень надає можливості:

а) визначити інформаційні атаки у відповідності зі сценарієм;

б) оцінити сценарій розвиту атаки (верифікація сценарію атаки).

Результатом очікуємого  оцінювання є підтвердження спроможності створення більш безпечних сервісів ІТ з двох напрямів. По-перше, оцінювання надає можливість виявити помилки й вразливості та зменшити потенційні збитки від інформаційних атак і вторгнень. По-друге, процес оцінювання може подавати хоча і не прямий, але  надто позитивний вплив на початкові вимоги, умови вдосконалення та експлуатації ІІС.

 

Література. 

1. Бєгун А.В. Особливості перевірки властивостей безпеки програм методом статистичного аналізу/ Моделювання та інформаційні технології в економіці.- №88.- 2013. – С. 132-138.

2. Ефремов А. Сетевые атаки и средства борьбы с ними// Computer weekly. - 14. – 1998.

3. Карве А. Обнаружение атак как средство контроля  за защитой сети//LAN/ Журнал сетевых решений. - №5. – 1999.

4. Кудрявцев В.Б., Алешкин С.В., Подколзин А.С. Введение в теорию автоматов. – М.: Наука, 1985.

5. Лукацкий А.В. Обнаружение атак. – СПб.: БХВ – Санкт-Петербург, 2001.

 

References. 

1. Biehun, A.V. (2013), “Features verify properties of security programs by method statistical analysis”, Modeliuvannia ta informatsijni tekhnolohii v ekonomitsi, vol.88, pp. 132-138.

2. Efremov, A. (1998), “Network attacks and the means to combat them”, Computer weekly, vol.14.

3. Karve, A. (1999), “Detection of attacks as a means of monitoring the protection of the network”, Zhurnal setevyh reshenij, vol. 5.

4. Kudrjavcev, V.B. Aleshkin, S.V. and Podkolzin, A.S. (1985), Vvedenie v teoriju avtomatov [Introduction to theory of automatic],Nauka, Moscow, Russia.

5. Lukackij, A.V. (2001), Obnaruzhenie atak [Detection of attacks], BHV, StPeterburg,  Russia.

 

 Стаття надійшла до редакції 08.10.2013 р.

 

bigmir)net TOP 100

ТОВ "ДКС Центр"